ランサムウェアの災い:2016年版

2016年12月6日

暗号と身代金は人類の歴史に深く根を下ろしています。しかし、この2つを組み合わせるとどうなるのか、世界に知られるようになったのはここ数十年にすぎません。事の発端は1989年、ジョセフ・L・ポップ(Joseph L. Popp)博士が、現在はランサムウェアとして知られる伝染性の病をばら撒いたことに始まります。

ransomware-plague-featured

始まり

コンピューターを使用した恐喝行為の元祖として知られるポップ博士は、世界保健機関(WHO)のAIDS会議において悪意あるペイロードを配布しました。フロッピーには「AIDS Information — Introductory Diskettes(AIDS情報入門)」というラベルが貼られており、これとは別に「フロッピーに入っているソフトウェアはコンピューターに害を及ぼす」ことを警告した文書が添えられていました。

しかし、こういった文書を読む人はいないものです。ポップ博士が作り上げた2万枚あまりのフロッピーの一部はコンピューターに差し込まれました。差し込んだ人のコンピューターはロックされ、今ではおなじみの身代金要求メッセージ(「パナマにある私書箱へ189ドルを郵便で送れ」)が表示されたのです。

最近のランサムウェア

ランサムウェアのコンセプトは、このときからほとんど変わっていません。明らかに違うのは、犯罪者が私書箱を介してお金を回収するのではなく、匿名ネットワーク(TORやI2Pなど)とビットコインを組み合わせて活用し、警察の網をかいくぐれるようになった点です。それにしても、このやり方が長きにわたり使われ続けているのは、なぜでしょうか?

お金を直接得られるからです。身代金の平均金額は約300ドルですから、規模が百万ドルレベルにも及ぶランサムウェア攻撃の話など現実離れして聞こえますが、ちりも積もれば、いつかは山になります。こういった恐喝行為の有効性と持久力は、これまでも実証されてきました。

人々は、最終的に、身代金を支払うかファイルを失うかという難しい問題に直面することになります。残念ながら、身代金の支払いを選択する人は大勢います。カスペルスキーでは、身代金を支払わず、できれば別の方法(No More Ransomサイト(英語)で復号ツールを探すなど)を見つけるように呼び掛けているのですが。

average-ransom-300-en

1日に検知される新しいランサムウェアの検体数を見ていると、気が遠くなるかもしれません。でも、実のところ、品質に比べれば数量はたいした問題ではありません。巧妙にコーディングされていて、厄介なマルウェアファミリーはそれほど多くありませんが、ごく少数のスター級のマルウェアファミリーは深刻な被害をもたらします(LockyCerberなど)。セキュリティリサーチャーは、これだけですでに手いっぱいです。

ランサムウェア攻撃は単独でも実行できますが、サイバー犯罪者は専門化していて、チーム活動によって成果を上げています。被害者がビットコインを購入して身代金を支払う処理を手助けするテクニカルサポートも提供しつつ、その間にも悪意あるコードを改変し、セキュリティリサーチャーや警察当局を煙に巻こうと画策しています。恐喝には手間がかかります!

ランサムウェアのビジネスモデルはここ数年、盛り上がりを見せていますが、その原因の1つに、「サービスとしてのランサムウェア」という即導入可能な新サービスの登場が挙げられます。ほとんどのタイプのマルウェアはわずかな技術的知識さえあれば作成できますが、非常に巧妙なランサムウェアを1から作り上げるのは極めて困難な作業です。ポイントは正しく暗号化すること(ここでミスを犯すと、正義の味方が瞬く間に復号ツールを開発してしまいます。当社のように)。

素人にとって一番手軽なビジネスモデルは、仲介業です。ランサムウェアの配布を担当し、戦利金の一部を本来の開発者に支払うのです。この種の取引は、残念ながら大繁盛しています。

ランサムウェアの種類

サンサムウェアには、サードパーティのツール(WinRARやGPGなど)に頼った概念実証的な単純なものから、Microsoft Developer Networkのコードを実装したものまで、さまざまな種類が存在しており、ランサムウェアの多様な進化は、利益を追求するサイバー犯罪者の意欲を示しています。

さらに、近ごろはシャドウコピーバックアップを削除したり、外付けドライブやネットワークドライブを暗号化したり、果てはクラウド上の同期ファイルにまで手を出したりする高度なランサムウェアが見つかることも珍しくありません。レベルが上がっています。素人の活動も盛んですが、その一方で、一握りの犯罪者集団のせいで私たちは夜遅くまで働いているのです。

トレンド

ランサムウェアの新種がブラジルでいくつか検知されていることから、ランサムウェアの活動が拡大し続けていることがわかります。ただし、新たに開発されたランサムウェアよりも、ブランド戦略を変更したランサムウェアの方が増加しています。わざわざ独自のランサムウェアのコードを書く必要はありません。特別な知識を持たない子供でも、ランサムウェア攻撃に必要なものがすべてそろったキットを買うことができます。あとはテーマを決めるだけ。非常に面白いブランド戦略であれば、メディアの目を引き、報道されます。こうして、お金が入ってくるだけでなく、悪い意味で有名になるのです。

no-no-ransom-featured_ja

これまで、低品質のランサムウェアがニュースのネタになるのをイヤと言うほど見てきました。そのランサムウェアが評判になったのは、人気テレビ番組のロゴや映画の登場人物の画像、政治家にまつわるジョークを使っていたからです。しかし、このブランド戦略のマイナス面は、目につきやすい、つまり検知されやすいことです。現在は犯罪者の多くがランサムウェアに命名することを止め、連絡用の電子メールアドレスと支払い用のビットコインアドレスを被害者にただ知らせるだけです。

支払い方法ですが、有名なランサムウェアファミリーは今でも身代金の要求と回収にビットコインを好んで使っています。とはいえ、メジャーなバウチャー制度(PaySafeCardなど。ただし、PaySafeCardは日本では利用不可)を使って支払いを要求する変わった事例が見つかることもあります。また、地域性を持つランサムウェアや、キットを使わず自力で作られたランサムウェアは、その地域でしか使えない支払い方法を指定することが往々にしてあります。しかし、こういったやり方を採用すれば、他のランサムウェアが日常的に巻き起こす騒ぎに紛れ込んで存在が目立たない、というメリットはなくなります。

今後の展望

当社は「ランサムウェア被害からの復旧」から「ランサムウェア情報の収集」へと徐々にパラダイムの転換を図っていますが、目の前にはまだまだ長い道が続いています。問題に関して確かな証拠と具体的な統計を集めることでしか、当社の選択を適切に評価することはできません。残念ながら、ランサムウェアの被害に遭った人が全員事件を報告してくれるわけではなく、報告したとしても報告先が別の機関だったりすることもあり、完全なデータを収集することは困難です。

サイバー犯罪ビジネスとランサムウェアとのつながりを断つため、警察当局とITセキュリティ企業が連携することの有効性は実証されています。たとえば、No More Ransomの活動は、ランサムウェアの被害者が犯罪者に身代金を支払わなくても、暗号化されたデータを取り戻せるようにしたいという熱意から生まれました。

このプロジェクトを支援する団体が増えれば、このようなインシデントの解決に必要な枠組みを当社が提供できる可能性は日ごとに高まります。関係者1人1人には、ランサムウェアの世界の一部しか見えていませんから、一致団結以外に成功への道は拓けません。

皆さん(被害者予備軍でもあります)にとって、武器となるのは知識です。Kaspersky Labはランサムウェアの犠牲にならないためのヒントをまとめました。インターネットを利用する方々、つまり、すべての方々にご一読をお勧めします。